מי ניסה לסחוט את סימנטק?

קבוצת האקרים ניסתה לסחוט את סימנטק ודרשה מחברת האבטחה לשלם לה 50 אלף דולר, או שתפרסם ברשת את קודי המקור של התוכנות נורטון אנטי-וירוס ו-pcAnywhere - כך עולה מחילופי אימיילים שפורסמו באתר Pastebin.

אתמול (ב') הופיע באתר חיפוש קובצי הטורנט פיראט ביי קובץ בגודל 1.27 גיגה-בייט שהוצג כקוד המקור של pcAnywhere. בסימנטק טענו שגם בתרחיש הגרוע ביותר הפרסום אינו צפוי להשפיע על משתמשי הגרסאות העדכניות של התוכנה.

 

ההאקרים מאיימים, סימנטק מנסים להרגיע

פרסום הקוד והאימיילים מהווים את ההתפתחות האחרונה בפרשה, שמרעישה בחודש האחרון את קהילת האבטחה העולמית. בתחילת ינואר טענה קבוצת האקרים המכונה "The Lords of Dharmaraja" כי גנבה קוד מקור של תוכנות סימנטק, אך לא ציינה אילו. לדברי האקרים, הם הגיעו לקוד אחרי שפרצו לשרתי המודיעין ההודי.

חברת האבטחה טענה תחילה כי אין לה סיבה להאמין שהמידע נחשף, אך יום למחרת נאלצה להודות כי האקרים הצליחו לגנוב חלקים מקוד המקור של שתיים מהתוכנות הפופולריות ביותר שלה – Symantec Endpoint Protection 11.0 ו-Symantec Antivirus 10.2. חשיפת קוד מקור של תוכנות, ובפרט תוכנות אבטחה, יכולה לסייע להאקרים זדוניים המחפשים דרכים לפרוץ אותן.

עם זאת, בשני המקרים מדובר היה בקוד מקור של גרסאות ישנות בנות כמה שנים, והסיכון למשתמשים נחשב נמוך. "אין אינדיקציה שחשיפת הקוד תשפיע על פעילות פתרונות האבטחה של סימנטק", טענה החברה.

ואולם, כשבוע וחצי אחר-כך איימה בטוויטר קבוצת האקרים שמכונה YamaTough שתפרסם בתוך ימים ספורים קובץ בגודל 1.7 ג"ב, הכולל את קוד המקור המלא של תוכנת נורטון אנטי-וירוס של סימנטק – הודעה שרמזה על כך שייתכן ודליפת הקוד חמורה משהיה ידוע.

כמה שעות לאחר מכן פרסמה סימנטק הודעה בה טענה: "הקוד ל-Norton Utilities שפורסם ברשת הוא של גרסה מ-2006, שכבר לא נתמכת או נמכרת. הגרסה העדכנית הינה פיתוח חדש לחלוטין שלא חולק קוד עם גרסת 2006. פרסום הקוד לא מציב סיכון ביטחוני בפני משתמשי הגרסה העדכנית של Norton Utilities".

סימנטק: "רשויות החוק ניהלו את המגעים"

 

למרות מאמצי ההרגעה, נראה היה שהמצב חמור מכפי שסימנטק הודתה. לפני כשבועיים פרסמה החברה מסמך ובו המליצה למשתמשי תוכנת pcAnywhere, שמאפשרת להתחבר מרחוק למחשבים שעליהם היא מותקנת, להפסיק את השימוש בה עד להודעה חדשה. החברה הודתה אז שפרצת אבטחה מ-2006 (שכנראה אינה קשורה לפריצה לשרתי המודיעין ההודי) הביאה לחשיפת קוד מקור של כמה תוכנות, ובהן גם הגרסה התאגידית של נורטון אנטי-וירוס, אך ציינה כי רק משתמשי pcAnywhere נמצאים בסיכון.

כעת מתברר שמאחורי הפרסומים וההודעות של נורטון עמד עימות מורט עצבים בין החברה ורשויות החוק להאקרים, לאור איום של האחרונים למכור את קוד המקור שבידם למרבה במחיר.

חלופת האימיילים שפורסמה מתחילה ב-18 בינואר, ומציגה אימיילים שהוחלפו בין נציגי קבוצת ההאקרים לעובד סימנטק לכאורה בשם סם תומאס. באימיילים הראשונים מנסה נציג סימנטק לאמת את טענות ההאקרים, ולאחר מכן עוברים הצדדים לדון באופן העברת הכספים. באימייל מ-1 בפברואר מציע תומאס לשלם להאקרים 50 אלף דולר, 7,500 דולר מתוכם על פני שלושה חודשים והשאר בתום התקופה, אם ההאקרים יוכיחו שהשמידו את הקוד שברשותם. לאור קלות השכפול של מידע דיגיטלי לא ברור איך הוכחה כזו אפשרית.

מהשיחה עולה כי מחבר ההודעות מטעם סימנטק הפעיל טקטיקת דחייה והתמהמהות, במה שנראה כמו ניסיון לגלות את זהות ההאקרים - שהעלו בעצמם את החשד הזה במהלך השיחה. בתכתובת האחרונה, שמתוארכת לאתמול, מציבים ההאקרים דד-ליין של 10 דקות לקבלת החלטה סופית מצד סימנטק, אחרת ישוחרר הקוד של pcAnywhere ונורטון אנטי-וירוס. בתגובה עונה תומאס כי החברה לא יכולה לקבל החלטה בתוך 10 דקות.

חששות ההאקרים, כך מסתבר, היו מוצדקים: בתגובה שהעבירה למגזין "פורבס" טענה סימנטק כי סם תומאס הוא אינו עובד של החברה, כי אם יישות בדיונית שהופעלה על-ידי רשויות החוק כחלק ממבצע עוקץ. "כשהם פנו אלינו עם ניסיון סחיטה, אנחנו פנינו לרשויות החוק והעברנו לידם את ניהול המו"מ", הבהירה חברת האבטחה. ככל הידוע ההאקרים לא אותרו, ולאור ההסלמה הנמשכת בפרשה זו ניתן לשער שהם עוד לא אמרו את המילה האחרונה.